erikro
Jun 13, 2023
view2870
view8
0
Goto Top

AD-Integration MediaWiki

GermansolvedQuestionDebianWeb DevelopmentServer
Moin,

wir nutzen MediaWiki als Dokumentationssystem rein intern ohne Zugriff aus dem Internet. Nun bin ich darauf gestoßen, dass man das auch an das AD anbinden kann. Das wäre nice to have. Ich habe folgende Anleitung befolgt:

https://www.mediawiki.org/wiki/Manual:Active_Directory_Integration

Das hat auch soweit alles geklappt. Leider kann sich niemand mehr anmelden. Es soll ein SSO werden (laut diversen Informationen aus dem Netz). Ich bekomme aber immer die Meldung "Die Anmeldedaten können nicht verifiziert werden". Kennt jemand den Fehler und auch eine Lösung?

Debian Buster (aktuell),
MediaWiki 1.37.2
PHP 7.4.33 (apache2handler)
MariaDB 10.5.19-MariaDB-0+deb11u2
ICU 67.1
AD Hosts: Server 2019 (auch aktuell)

Liebe Grüße

Erik
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 7508772383

Url: https://administrator.de/contentid/7508772383

Printed on: April 27, 2024 at 23:04 o'clock

8 Comments
Latest comment
Goto Top
Member: em-pie
em-pie Jun 13, 2023 at 10:28:43 (UTC)
Goto Top
Moin,

hab mit unserem MediaWiki/ Bluespice damals auch etwas herumhexen dürfen/ müssen...

funktioniert ldapsearch generell bei dir? https://www.mediawiki.org/wiki/Manual:Active_Directory_Integration#Debug ...
Darf euer Debian den DC befragen (Firewall)?
Nutzt ihr LDAPS?
Member: Mr-Gustav
Mr-Gustav Jun 13, 2023 at 10:57:04 (UTC)
Goto Top
Darf das Wiki denn überhaupt auf den DC - Stichwort Firewall ?
Hast du für das Wiki einen AD User gesetzt der auf das AD zugreifen darf ?
Member: erikro
erikro Jun 13, 2023 at 11:12:04 (UTC)
Goto Top
Moin,

danke für die Antworten.

ldapsearch funktioniert mit dem für Mediawiki eingerichteten Systemuser im AD.

CheckLogin und ShowUserInfo funktionieren auch.

Firewall ist zwischen den beiden Servern keine. Die sind im selben Segment.

Liebe Grüße

Erik
Mitglied: 7426148943
Solution 7426148943 Jun 13, 2023 updated at 13:18:28 (UTC)
Goto Top
Habe das gerade mal auf einer Test-VM getestet und hatte mit folgender Anpassung in der LocalSettings.php Erfolg
(Hier nur der IF-Abschnitt alles andere kann bleibenface-smile
// Activate Extension
if ( $ldapConfig ) {
  wfLoadExtension( 'PluggableAuth' );  
  wfLoadExtension( 'LDAPProvider' );  
  wfLoadExtension( 'LDAPAuthentication2' );  
  wfLoadExtension( 'LDAPAuthorization' );  
  wfLoadExtension( 'LDAPUserInfo' );  
  wfLoadExtension( 'LDAPGroups' );  

  $LDAPProviderDomainConfigProvider = "\\MediaWiki\\Extension\\LDAPProvider\\DomainConfigProvider\\LocalJSONFile::newInstance";  
  $LDAPProviderDomainConfigs = $ldapJsonFile;

  // Force LDAPGroups to sync by choosing a domain (e.g. first JSON object in ldap.json)
  $LDAPProviderDefaultDomain = "testlab.intern";  

  $wgPluggableAuth_Config['Anmelden (testlab.intern)'] = [  
    'plugin' => 'LDAPAuthentication2',  
    'data' => [  
        'domain' => 'testlab.intern'  
    ]
  ];

  $wgPluggableAuth_EnableLocalLogin = false;
  $LDAPAuthentication2AllowLocalLogin = false;
}
Ich hatte das ganze dann noch statt mit ClearText LDAP mit SSL gemacht (CA Cert in den Trust-Store importieren nicht vergessen).
{
	"testlab.intern": {  
		"connection": {  
			"server": "server.testlab.intern",  
			"port": "3269",  
			"user": "CN=MediaWikiAuth,CN=Users,DC=TESTLAB,DC=INTERN",  
			"pass": "Passw0rd",  
			"enctype": "ssl",  
			"options": {  
				"LDAP_OPT_DEREF": 1  
			},
			"basedn": "dc=testlab,dc=intern",  
			"userbasedn": "dc=testlab,dc=intern",  
			"groupbasedn": "dc=testlab,dc=intern",  
			"searchattribute": "samaccountname",  
			"usernameattribute": "samaccountname",  
			"realnameattribute": "cn",  
			"emailattribute": "mail",  
			"grouprequest": "MediaWiki\\Extension\\LDAPProvider\\UserGroupsRequest\\UserMemberOf::factory",  
			"presearchusernamemodifiers": [ "spacestounderscores", "lowercase" ]  
		},
		"userinfo": [],  
		"authorization": [],  
		"groupsync": {  
			"mapping": {  
				"engineering": "CN=xxxxxx,CN=Users,DC=TESTLAB,DC=INTERN",  
				"bureaucrat": "CN=xxxxxx,CN=Users,DC=TESTLAB,DC=INTERN",  
				"interface-admin": "CN=xxxxxxx,CN=Users,DC=TESTLAB,DC=INTERN",  
				"sysop": "CN=xxxxxx,CN=Users,DC=TESTLAB,DC=INTERN"  
			}
		}
	}
}

Man kann den AD Login über das Plugin auch vorher nochmal testen, über die mitgelieferten Maintenance-Skripts unter
php ./extensions/LDAPProvider/CheckLogin.php --conf ./LocalSettings.php --domain testlab.intern --username MaxMuster

Zeppel
Member: erikro
erikro Jun 13, 2023 at 14:19:33 (UTC)
Goto Top
Moin Zeppel,

das funktioniert immerhin soweit, dass ich mich mit meinem Domain-Passwort und nicht mehr mit dem internen vom Dokuwiki anmelden kann. SSO wäre jetzt noch schicker. Aber das muss nicht sein.

Vielen Dank.

Liebe Grüße

Erik
Member: erikro
erikro Jun 13, 2023 at 14:29:35 (UTC)
Goto Top
Zu früh gefreut. Jetzt kann ich mich zwar mit dem Domain-User einloggen, kann aber den grafischen Editor nicht mehr nutzen. Es kommt

dokuwiki

Klicke ich auf "Erneut versuchen", kommt die Fehlermeldung erneut. Klicke ich auf "Abbrechen", fällt er auf den Quelltexteditor zurück.
Member: erikro
erikro Jun 13, 2023 updated at 14:43:11 (UTC)
Goto Top
Gelöst. Am Ende der Geschichte noch

if ( $_SERVER['REMOTE_ADDR'] == '123.123.123.123' ) {  
  $wgGroupPermissions['*']['read'] = true;  
  $wgGroupPermissions['*']['edit'] = true;  
  $wgGroupPermissions['*']['writeapi'] = true;  
}

ergänzen und auch der grafische Editor geht wieder.

P.S.: Das stand vorher weiter oben, muss aber an den Schluss.
Mitglied: 7426148943
7426148943 Jun 13, 2023 at 16:44:36 (UTC)
Goto Top
Zitat von @erikro:

SSO wäre jetzt noch schicker.
Das Plugin dafür findest du hier
https://m.mediawiki.org/wiki/Extension:PluggableSSO
GermansolvedQuestionDebianWeb DevelopmentServer
Hotly discussed
DaniEnd of availability for classic Teams clientDani